Regolamento sul trattamento e sulla protezione dei dati personali nelle banche dati personali di proprietà del venditore

Contenuto

  1. Concetti generali e ambito di applicazione
  2. Elenco delle banche dati personali
  3. Finalità del trattamento dei dati personali
  4. Procedura per il trattamento dei dati personali: acquisizione del consenso, notifica dei diritti e delle azioni con dati personali dell'interessato
  5. La posizione del database personale
  6. Condizioni di divulgazione delle informazioni sui dati personali a terzi
  7. Protezione dei dati personali: modalità di protezione, responsabile, dipendenti che trattano direttamente e/o hanno accesso ai dati personali in relazione all'esercizio delle loro funzioni ufficiali, termine di conservazione dei dati personali
  8. Diritti dell'interessato
  9. Procedura per la gestione delle richieste dell'interessato dei dati personali
  10. Registrazione statale della base di dati personali

1. Concetti generali e ambito di applicazione

1.1. Definizione dei termini:

banca dati personale - un insieme denominato di dati personali organizzati in formato elettronico e/o sotto forma di file di dati personali;

responsabile - una persona designata che organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento, in conformità con la legge;

il titolare di una base di dati personali è una persona fisica o giuridica a cui è concesso il diritto di trattare questi dati per legge o con il consenso dell'interessato, che approva lo scopo del trattamento dei dati personali in questa banca dati, stabilisce la composizione di tali dati e delle modalità del loro trattamento, salvo quanto diversamente stabilito dalla legge;

Il registro statale delle banche dati personali è un unico sistema informativo statale per la raccolta, l'accumulo e l'elaborazione delle informazioni sulle banche dati personali registrate;

fonti di dati personali disponibili al pubblico: elenchi, rubriche, registri, elenchi, cataloghi, altre raccolte sistematiche di informazioni aperte che contengono dati personali, inserite e pubblicate da un soggetto noto di dati personali. I social network e le risorse Internet in cui l'oggetto dei dati personali lascia i propri dati personali non sono considerati fonti di dati personali disponibili al pubblico (a meno che l'oggetto dei dati personali non dichiari espressamente che i dati personali sono pubblicati allo scopo della loro distribuzione e utilizzo gratuiti);

consenso dell'interessato - qualsiasi espressione documentata e volontaria di volontà di una persona fisica in merito alla concessione del permesso per il trattamento dei suoi dati personali in conformità con lo scopo formulato del loro trattamento;

depersonalizzazione dei dati personali - rimozione delle informazioni di identificazione personale;

trattamento dei dati personali - qualsiasi azione o insieme di azioni eseguite in tutto o in parte in un sistema informativo (automatizzato) e/o in archivi di dati personali, che sono correlati alla raccolta, registrazione, accumulazione, conservazione, adattamento, modifica, rinnovo , utilizzo e diffusione (distribuzione, implementazione, trasferimento), spersonalizzazione, distruzione di informazioni su una persona fisica;

dati personali - informazioni o insieme di informazioni relative a una persona fisica identificata o identificabile in modo specifico;

il responsabile del trattamento dei dati personali è una persona fisica o giuridica autorizzata dal titolare del database o dalla legge a trattare tali dati. Una persona incaricata dal proprietario e/o dal gestore del database personale di svolgere un lavoro tecnico con il database personale senza accedere al contenuto dei dati personali non è un amministratore del database personale;

soggetto dei dati personali - una persona fisica, in relazione alla quale, ai sensi della legge, vengono trattati i suoi dati personali;

terzo - qualsiasi persona, ad eccezione della persona interessata dai dati personali, del proprietario o del responsabile della banca dati personale e dell'autorità statale autorizzata per questioni relative alla protezione dei dati personali, alla quale il proprietario o il responsabile della base dati personale trasferisce i dati personali in conformità con la legge;

categorie particolari di dati - dati personali relativi all'origine razziale o etnica, alle convinzioni politiche, religiose o ideologiche, all'adesione a partiti politici e sindacati, nonché dati relativi alla salute o alla vita sessuale.

1.2. Il presente regolamento è obbligatorio per il responsabile e i dipendenti del venditore che trattano e/o hanno accesso direttamente ai dati personali in relazione all'adempimento dei loro compiti ufficiali.

2. Elenco delle banche dati personali

2.1. Il venditore è titolare delle seguenti banche dati personali:

  • database dei dati personali delle controparti.

3. Finalità del trattamento dei dati personali

3.1. Lo scopo del trattamento dei dati personali nel sistema è quello di garantire l'attuazione dei rapporti giuridici civili, fornendo, ricevendo ed effettuando pagamenti per beni e servizi acquistati in conformità con il Codice fiscale dell'Ucraina, la Legge dell'Ucraina "Sulla contabilità e sulla rendicontazione finanziaria in Ucraina".

4. La procedura per il trattamento dei dati personali: acquisizione del consenso, notifica dei diritti e delle azioni con dati personali dell'interessato

4.1. Il consenso dell'interessato dei dati personali deve essere un'espressione volontaria della volontà dell'individuo di concedere il permesso per il trattamento dei suoi dati personali in conformità con lo scopo dichiarato del loro trattamento.

4.2. Il consenso dell’interessato ai dati personali può essere prestato nelle seguenti forme:

  • un documento su supporto cartaceo con dettagli che consentano l'identificazione di questo documento e di una persona fisica;
  • un documento informatico, che deve contenere dettagli obbligatori che consentano l'identificazione di tale documento e di una persona fisica. È opportuno certificare la dichiarazione volontaria di consenso della persona fisica al trattamento dei suoi dati personali con una firma elettronica dell'interessato;
  • una nota su una pagina elettronica di un documento o in un file elettronico che viene elaborato in un sistema informativo sulla base di software documentati e soluzioni tecniche.

4.3. Il consenso dell'interessato ai dati personali viene prestato al momento della registrazione dei rapporti giuridici civili in conformità con la normativa vigente.

4.4. La notifica all'interessato dei dati personali sull'inclusione dei suoi dati personali nella base di dati personali, i diritti definiti dalla legge ucraina "Sulla protezione dei dati personali", lo scopo della raccolta dei dati e le persone a cui i suoi dati personali il trasferimento dei dati avviene in sede di registrazione dei rapporti giuridici civili in conformità alla normativa vigente.

4.5. È vietato il trattamento di dati personali relativi all’origine razziale o etnica, alle convinzioni politiche, religiose o ideologiche, all’adesione a partiti politici e sindacati, nonché di dati relativi alla salute o alla vita sessuale (categorie particolari di dati).

5. Ubicazione della banca dati personale

5.1. La base di dati personali specificata nella Sezione 2 del presente Regolamento si trova presso l'indirizzo del venditore.

6. Condizioni di comunicazione dei dati personali a terzi

6.1. La procedura per l'accesso ai dati personali di terzi è determinata dai termini del consenso dell'interessato, fornito dal titolare dei dati personali al trattamento di tali dati, o in conformità con i requisiti di legge.

6.2. L'accesso ai dati personali non è consentito a terzi se la persona specificata rifiuta di assumersi gli obblighi per garantire l'adempimento dei requisiti della legge ucraina "Sulla protezione dei dati personali" o non è in grado di garantirli.

6.3. L'oggetto dei rapporti relativi ai dati personali presenta una richiesta di accesso (di seguito - richiesta) ai dati personali al titolare dei dati personali.

6.4. La richiesta recita:

  • cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e estremi del documento attestante la persona fisica che presenta la richiesta (per una persona fisica - il richiedente);
  • nome, sede della persona giuridica che presenta la richiesta, posizione, cognome, nome e patronimico della persona che certifica la richiesta; conferma che il contenuto della richiesta corrisponde all'autorità della persona giuridica (per una persona giuridica - il richiedente);
  • cognome, nome e patronimico, nonché altre informazioni che consentano l'identificazione della persona fisica nei confronti della quale viene avanzata la richiesta;
  • informazioni sull'archivio personale per il quale viene presentata la richiesta, oppure informazioni sul proprietario o amministratore di tale archivio personale;
  • elenco dei dati personali richiesti;
  • lo scopo e/o la base giuridica della richiesta.

6.5. Il termine di studio della richiesta per la sua soddisfazione non può superare i dieci giorni lavorativi dalla data del suo ricevimento. Durante questo periodo, il titolare della base di dati personali dimostra alla persona conosciuta che presenta la richiesta che la richiesta sarà soddisfatta o che i relativi dati personali non sono oggetto di conferimento, indicando i motivi definiti nella relativa legge regolamentare. La richiesta è soddisfatta entro trenta giorni di calendario dalla data del suo ricevimento, salvo diversa disposizione di legge.

6.6. Il ritardo nell'accesso ai dati personali di terzi è consentito qualora i dati necessari non possano essere forniti entro trenta giorni di calendario dalla data di ricevimento della richiesta. Allo stesso tempo, il termine complessivo per la risoluzione delle questioni sollevate nella richiesta non può superare i quarantacinque giorni di calendario.

6.7. Il rinvio sarà comunicato per iscritto al terzo che ha presentato la richiesta, con la spiegazione della procedura per impugnare tale decisione.

6.8. L'avviso di rinvio recita:

  • cognome, nome e patronimico del funzionario;
  • la data di invio del messaggio;
  • il motivo del ritardo;
  • il periodo durante il quale la richiesta verrà accolta.

6.9. La negazione dell'accesso ai dati personali è consentita se l'accesso agli stessi è vietato dalla legge.

6.10. L'avviso di rigetto recita:

  • cognome, nome, patronimico del funzionario che nega l'accesso;
  • la data di invio del messaggio;
  • motivo del rifiuto.

6.11. La decisione di ritardare o rifiutare l'accesso ai dati personali può essere impugnata dinanzi al tribunale.

7. Protezione dei dati personali: modalità di protezione, responsabile, dipendenti che trattano direttamente e/o hanno accesso ai dati personali in relazione all'esercizio delle loro funzioni, periodo di conservazione dei dati personali

7.1. Il titolare della base di dati personali è dotato di sistemi, software e strumenti di comunicazione che impediscono la perdita, il furto, la distruzione non autorizzata, la distorsione, la falsificazione, la copiatura delle informazioni e soddisfano i requisiti degli standard internazionali e nazionali.

7.2. Il responsabile organizza il lavoro relativo alla protezione dei dati personali durante il loro trattamento in conformità con la legge. La persona responsabile è determinata dall'ordine del proprietario della banca dati personale.

I compiti del responsabile in merito all'organizzazione del lavoro in relazione alla protezione dei dati personali durante il trattamento sono specificati nella descrizione del lavoro.

7.3. La persona responsabile è obbligata a:

  • conoscere la legislazione dell'Ucraina nel campo della protezione dei dati personali;
  • elaborare procedure per l'accesso ai dati personali dei dipendenti in conformità alle loro mansioni professionali o d'ufficio o di lavoro;
  • garantire che i dipendenti del Titolare della base di dati personali rispettino i requisiti della legislazione ucraina nel campo della protezione dei dati personali e i documenti interni che regolano le attività del Titolare della base di dati personali in merito al trattamento e alla protezione dei dati personali dati nelle banche dati personali;
  • sviluppare una procedura (procedura) per il controllo interno sul rispetto dei requisiti della legislazione ucraina nel campo della protezione dei dati personali e dei documenti interni che regolano le attività del titolare di un database personale in merito al trattamento e alla protezione dei dati personali in ambito personale banche dati, che, in particolare, dovrebbero contenere norme riguardanti la periodicità di tale controllo;
  • notificare al Titolare della base di dati personali fatti di violazione da parte dei dipendenti dei requisiti della legislazione ucraina nel campo della protezione dei dati personali e dei documenti interni che regolano le attività del Titolare della base di dati personali in merito al trattamento e alla protezione dei dati personali dati nelle banche dati personali entro e non oltre un giorno lavorativo dal momento della scoperta di tali violazioni;
  • garantire la conservazione dei documenti che confermano la fornitura da parte dell'interessato del consenso al trattamento dei suoi dati personali e la notifica all'interessato dei suoi diritti.

7.4. Per adempiere ai propri compiti, il responsabile ha il diritto di:

  • ricevere i documenti necessari, compresi ordini e altri documenti amministrativi emessi dal Titolare del database personale, relativi al trattamento dei dati personali;
  • effettuare copie dei documenti ricevuti, comprese copie di file, qualsiasi record archiviato nelle reti informatiche locali e nei sistemi informatici autonomi;
  • partecipare alla discussione dei suoi compiti di organizzazione del lavoro relativi alla protezione dei dati personali durante il loro trattamento;
  • considerare proposte per migliorare le attività e migliorare i metodi di lavoro, presentare commenti e opzioni per eliminare le carenze individuate nel processo di trattamento dei dati personali;
  • ricevere chiarimenti su questioni relative al trattamento dei dati personali;
  • firmare e autenticare gli atti nei limiti della propria competenza.

7.5. I dipendenti che trattano direttamente e/o hanno accesso ai dati personali in relazione allo svolgimento delle loro funzioni ufficiali (di lavoro) sono tenuti a rispettare i requisiti della legislazione ucraina nel campo della protezione dei dati personali e dei documenti interni, per quanto riguarda il trattamento e protezione dei dati personali nelle banche dati personali.

7.6. I dipendenti che hanno accesso ai dati personali, compreso il loro trattamento, sono tenuti a non divulgare in alcun modo i dati personali loro affidati o di cui siano venuti a conoscenza in occasione dell'espletamento delle funzioni professionali o d'ufficio o di lavoro dell'ufficio. Tale obbligo è valido dopo la cessazione delle attività relative ai dati personali, salvo i casi stabiliti dalla legge.

7.7 Le persone che hanno accesso ai dati personali, compresi coloro che li elaborano, in caso di violazione dei requisiti della legge ucraina "Sulla protezione dei dati personali" sono responsabili in conformità con la legislazione ucraina.

7.8. I dati personali non devono essere conservati più a lungo del necessario per lo scopo per il quale tali dati sono archiviati, ma in ogni caso non più del periodo di conservazione dei dati determinato dal consenso dell'interessato al trattamento di tali dati.

8. Diritti dell'interessato

8.1. L'interessato dei dati personali ha diritto:

  • conoscere l'ubicazione del database personale che contiene i suoi dati personali, il suo scopo e il nome, l'ubicazione e/o il luogo di residenza (residenza) del proprietario o amministratore di tale database, o di dare le istruzioni appropriate per ottenere tali informazioni a persone da lui autorizzate, fuori dei casi stabiliti dalla legge;
  • ricevere informazioni sulle condizioni per l'accesso ai dati personali, in particolare informazioni sui terzi a cui vengono trasferiti i suoi dati personali, contenute nel relativo database personale;
  • accedere ai Suoi dati personali contenuti nella relativa banca dati personale;
  • di ricevere entro trenta giorni di calendario dalla data di ricevimento della richiesta, salvi i casi previsti dalla legge, risposta circa l'eventuale conservazione dei suoi dati personali nel relativo data base personale, nonché di ricevere il contenuto dei suoi dati personali dati archiviati;
  • presentare un reclamo motivato con opposizione al trattamento dei tuoi dati personali da parte delle autorità statali, degli enti di autogoverno locale nell'esercizio dei loro poteri previsti dalla legge;
  • presentare una richiesta motivata per la modifica o la distruzione dei tuoi dati personali da parte di qualsiasi proprietario e amministratore di questo database, se tali dati vengono trattati illegalmente o sono inaffidabili;
  • proteggere i tuoi dati personali dal trattamento illecito e dalla perdita accidentale, dalla distruzione, dai danni legati all'occultamento intenzionale, dal mancato o intempestivo conferimento degli stessi, nonché dalla fornitura di informazioni inaffidabili o che disonorano l'onore, la dignità e la reputazione aziendale di una persona fisica;
  • affrontare questioni di tutela dei propri diritti in merito ai dati personali alle autorità statali, agli organi di autogoverno locale, i cui poteri includono la protezione dei dati personali;
  • applicare i rimedi giurisdizionali in caso di violazione della normativa in materia di protezione dei dati personali.

9. Modalità per gestire le richieste dell'interessato dei dati personali

9.1. L'oggetto dei dati personali ha il diritto di ricevere qualunque informazione che lo riguardi da qualsiasi soggetto che abbia rapporti con i dati personali, senza specificare lo scopo della richiesta, salvo i casi stabiliti dalla legge.

9.2. L'accesso dell'interessato ai dati che lo riguardano è gratuito.

9.3. L'interessato presenta una richiesta di accesso (di seguito richiesta) ai dati personali al titolare del database personale.

La richiesta recita:

  • cognome, nome e patronimico, luogo di residenza (luogo di soggiorno) e estremi del documento attestante l'identità del soggetto dei dati personali;
  • altre informazioni che consentono di identificare l'identità dell'interessato dei dati personali;
  • informazioni relative all'archivio personale in relazione al quale viene presentata la richiesta, ovvero informazioni relative al titolare o al responsabile di tale archivio;
  • elenco dei dati personali richiesti.

9.4. Il termine di studio della richiesta per la sua soddisfazione non può superare i dieci giorni lavorativi dalla data del suo ricevimento. Durante questo periodo, il titolare della base di dati personali dimostra al soggetto conosciuto dei dati personali che la richiesta sarà soddisfatta o che i relativi dati personali non sono oggetto di conferimento, indicando i motivi definiti nella relativa legge regolamentare.

9.5. La richiesta è soddisfatta entro trenta giorni di calendario dalla data del suo ricevimento, salvo diversa disposizione di legge.

10. Registrazione statale della base di dati personali

10.1. La registrazione statale delle banche dati personali viene effettuata ai sensi dell'articolo 9 della legge ucraina "Sulla protezione dei dati personali".